Што шукаць у гэтай апошняй лініі абароны
Шматузроўневая бяспеку шырока прыняты прынцып кампутарнай і сеткавай бяспекі (гл In Depth Security). Асноўны перадумовай з'яўляецца тое, што яна займае некалькі узроўняў абароны для абароны ад самых разнастайных нападаў і пагрозаў. Не толькі можа адзін прадукт або метад не абараняе ад любой магчымай пагрозы, таму патрабуюць розныя прадукты для розных пагроз, але якія маюць некалькі ліній абароны, мы спадзяемся, дазволіць адзін прадукт, каб злавіць рэчы, якія, магчыма, праслізнуў міма знешніх абарон.
Ёсць мноства прыкладанняў і прылад, якія можна выкарыстоўваць для розных Layers- антывіруснага праграмнага забеспячэння, міжсеткавых экранаў, IDS (Intrusion Detection Systems) і шмат чаго іншых. Кожны з іх мае некалькі іншую функцыю і абараняе ад рознага набору нападаў па-іншаму.
Адна з новых тэхналогій сістэмна IPS- Intrusion Prevention. IPS некалькі, як камбінаванне IDS з брандмаўарам. Тыповая IDS будзе рэгістраваць або папярэдзіць вас аб падазроным трафіку, але адказ застаецца вам. IPS мае палітыку і правілы, якія ён параўноўвае сеткавы трафік. Калі які-небудзь рух парушае палітыку і правілаў ІПС можа быць настроена на адказ, а не проста папярэджваючы вас. Тыповыя адказы могуць быць блакаваць ўвесь трафік ад IP-адрасы крыніцы або блакаваць ўваходны трафік на гэты порт, каб проактивно абараніць кампутар або сетка.
Ёсць сістэмы прадухілення ўварванняў сеткі на аснове (НПВ) і ёсць хост-сістэмы прадухілення ўварванняў (HIPS). Хоць гэта можа быць больш дарагім для рэалізацыі Сцягна асабліва ў вялікі, карпаратыўнай асяроддзі, я рэкамендую бяспеку хост, дзе гэта магчыма. Прыпынак ўварванняў і інфекцый на ўзроўні асобнага працоўных станцый можа быць значна больш эфектыўным пры блакаванні, або па крайняй меры, які змяшчае, пагрозе. Маючы гэта на ўвазе, вось спіс рэчаў, каб шукаць у HIPS рашэнне для вашай сеткі:
- Ня належыць на Подпісы: Подпісы або унікальныя характарыстыкі вядомага threats- з'яўляюцца адным з асноўных сродкаў , якія выкарыстоўваюцца праграмным забеспячэннем , як антывірус і выяўлення ўварванняў (IDS) .The падзенне сігнатур з'яўляецца тое , што яны з'яўляюцца рэактыўнымі. Подпіс не можа развівацца, пакуль пагроза існуе, і вы маглі б патэнцыйна атакаваныя да стварэння подпісы. Ваша рашэнне HIPS варта выкарыстоўваць выяўленне на аснове сігнатур нароўні з анамаліяй на аснове выяўлення, якая ўсталёўвае базавы ўзровень, што «нармальная» сеткавая актыўнасць выглядае на вашай машыну і будзе рэагаваць на любы трафік, які з'яўляецца незвычайна. Напрыклад, калі ваш кампутар не выкарыстоўвае FTP і раптам нейкая пагроза спрабуе адкрыць FTP-злучэнне вашага кампутара, то HIPS б знайсці гэта, як анамальную актыўнасць.
- Працуе з канфігурацыяй: Некаторыя рашэнні HIPS могуць быць абмежавальным з пункту гледжання таго, што праграмы або працэсы , якія яны могуць кантраляваць і абараняць. Вы павінны паспрабаваць знайсці HIPS, якая здольная апрацоўваць камерцыйныя пакеты з паліцы, а таксама любых дамарослых карыстацкіх прыкладанняў, якія вы можаце выкарыстоўваць. Калі вы не выкарыстоўваеце карыстацкія прыкладанні , ці не лічыце гэта сур'ёзнай праблемай для навакольнага асяроддзя, па меншай меры , пераканайцеся , што ваша рашэнне HIPS абараняе праграмы і працэсы , якія бягуць.
- Дазваляе ствараць палітыкі: Большасць HIPS рашэнні прыходзяць з даволі поўным наборам наканаваных палітык і пастаўшчыкоў, як правіла , прапануюць абнаўлення або вызваляюць новую палітыку , каб забяспечыць канкрэтны адказ на новыя пагрозы або нападу. Тым не менш, важна, што ў вас ёсць магчымасць ствараць свае ўласныя палітыкі ў тым выпадку, калі ў вас ёсць унікальная пагроза таго, што прадавец не прымае да ўвагі або калі новая пагроза выбуху і вам патрэбна палітыка, каб абараніць вашу сістэму да таго, як прадавец мае час выпусціць абнаўленне. Вы павінны пераканацца, што прадукт, які вы выкарыстоўваеце, не толькі мае магчымасць для Вас, каб стварыць палітыку, але, што стварэнне палітыкі досыць проста для вас, каб зразумець без тыдняў навучання або экспертных навыкаў праграмавання.
- Забяспечвае цэнтралізаваную справаздачнасць і адміністраванне: У той час як мы кажам пра абарону на аснове хаста для асобных сервераў або рабочых станцый, HIPS і NIPS рашэнне адносна дарогі і па-за сферай тыповага хатняга карыстальніка. Такім чынам, нават калі гаворка ідзе пра HIPS, верагодна, трэба разглядаць яго з пункту гледжання разгортвання HIPS на магчыма сотні працоўных станцый і сервераў у сеткі. У той час як прыемна мець абарону на ўзроўні асобнага рабочага стала, адміністраванне сотні асобных сістэм, або спрабуюць стварыць зводны справаздачу можа быць практычна немагчыма без добрай цэнтральнай справаздачнасці і адміністравання функцыі. Пры выбары прадукту, пераканайцеся, што яна цэнтралізаваная справаздачнасцю і адміністраванне, каб разгарнуць новую палітыку для ўсіх машын або ствараць справаздачы з усіх машын з аднаго месца.
Ёсць некалькі іншых рэчаў, якія трэба мець на ўвазе. Па-першае, HIPS і NIPS не «срэбная куля» для бяспекі. Яны могуць быць выдатным дадаткам да цвёрдай, шматузроўневай абароне, уключаючы брандмаўэр і антывірусныя праграмы сярод іншых рэчаў, але не варта спрабаваць замяніць існуючыя тэхналогіі.
Па-другое, першапачатковая рэалізацыя рашэння HIPS можа быць карпатлівая. Настройка выяўлення анамалій на аснове часта патрабуе нямала «рука-холдынг», каб дапамагчы зразумець, што прыкладанне з'яўляецца "нармальным" трафік, а што не. Вы можаце адчуваць колькасць ілжывых спрацоўванняў або прапушчаных негатываў у той час як вы працуеце, каб усталяваць базавую лінію, што вызначае «нармальны» трафік для вашай машыны.
І, нарэшце, кампаніі звычайна робяць пакупкі, заснаваныя на тым, што яны могуць зрабіць для кампаніі. Стандартная практыка бухгалтарскага ўліку мяркуе, што гэта будзе вымярацца на аснове аддачы ад інвестыцый, або ROI. Бухгалтары хочуць зразумець, калі яны ўкладваюць пэўную суму грошай, у новым прадукце або тэхналогіі, як доўга ён будзе прымаць для прадукту або тэхналогіі, каб плаціць за сябе.
На жаль, сеткавыя і кампутарная бяспека прадукцыю ў цэлым не адпавядаюць гэтай форме. Бяспеку работ на больш рэверс-ROI. Калі бяспеку прадукту або тэхналогіі, як задумана сетка будзе заставацца там, але забяспечыць пры не будзе «прыбытак» для вымярэння ROI ад. Вы павінны глядзець на рэверсе, хоць і лічаць, колькі кампанія можа страціць, калі прадукт ці тэхналогія не было на месцы. Колькі грошай прыйдзецца выдаткаваць на аднаўленне сервераў, аднаўленне дадзеных, час і рэсурсы прысвяціўшы тэхнічнага персаналу па ачыстцы пасля нападу, і г.д.? Калі не маючы прадукту патэнцыйна можа прывесці да страты значна больш грошай, чым кошт прадукту або тэхналогіі для рэалізацыі, то, магчыма, мае сэнс зрабіць гэта.